Combien de fois avez-vous scanné des codes QR sans réfléchir ? Et si cette décision innocente pouvait vous exposer à une menace croissante dans le paysage numérique ?
Les codes QR – abréviation de “quick response codes” – ont gagné en popularité, devenant essentiels à notre ère numérique. Conçus à l’origine pour le suivi industriel, leur facilité d’utilisation en a fait un outil de choix pour le partage d’informations. À l’ère des smartphones, les paiements numériques se sont généralisés et les codes QR sont devenus courants pour faciliter les transactions et accéder rapidement aux données.
Il existe deux types principaux de codes QR : Les codes QR dynamiques, qui peuvent être modifiés pour des mises à jour régulières mais sont susceptibles de faire l’objet de cyberattaques, et les codes QR statiques, qui restent fixes et stables mais peuvent être ciblés par les cybercriminels. Alors que nous nous plongeons dans le monde des codes QR, il est essentiel de comprendre leur dynamique et leurs risques potentiels, afin de mettre en lumière le côté obscur qui accompagne leur grande popularité.
Qu’est-ce qu’une attaque de phishing par code QR ?
Le Quishing, également connu sous le nom de QR code phishing, est un type de cyberattaque où les cybercriminels exploitent les codes QR pour inciter les utilisateurs à fournir des informations sensibles ou à télécharger des contenus malveillants. Ils créent des codes QR d’apparence réaliste, recourent à l’ingénierie sociale et exploitent les vulnérabilités des applications de lecture de codes QR.
Quishing vs. attaques de phishing courantes
Les attaques par hameçonnage impliquent des tactiques trompeuses pour inciter les individus à révéler des informations sensibles telles que des noms d’utilisateur, des mots de passe ou des données financières. Ces attaques imitent des entités réputées par le biais de canaux apparemment dignes de confiance, tels que les courriels ou les messages instantanés, dans le but principal d’obtenir un accès non autorisé ou de commettre un vol.
Les attaques de type “Quishing” constituent une variante nuancée des schémas d’hameçonnage conventionnels. Les attaquants utilisent les codes QR pour les distribuer facilement par le biais de divers canaux, tels que des documents imprimés ou des courriels, en capitalisant sur leur capacité à se fondre dans les contextes quotidiens. Cette méthode constitue un moyen rapide et camouflé de rediriger les utilisateurs vers des sites frauduleux, où ils peuvent involontairement divulguer des informations sensibles. Les attaquants profitent de l’utilisation généralisée des codes QR et de la confiance qu’ils inspirent, en exploitant leur commodité et en contournant souvent l’examen minutieux des URL sous-jacentes par les utilisateurs.
Une analyse étape par étape du processus d’attaque
-
Création de codes QR malveillants
Les cybercriminels conçoivent des codes QR qui semblent légitimes mais qui redirigent les utilisateurs vers des sites web frauduleux ou les incitent à télécharger des contenus malveillants.
-
Techniques d’ingénierie sociale
Les hameçonneurs utilisent souvent des messages persuasifs pour manipuler les utilisateurs et les inciter à scanner les codes QR malveillants. Ces messages peuvent promettre des récompenses, des réductions ou des alertes urgentes afin de créer un sentiment d’urgence ou d’excitation.
-
Canaux de distribution
Les codes QR malveillants sont diffusés par divers canaux, notamment des courriels d’hameçonnage, de fausses publicités ou même des objets physiques tels que des affiches et des prospectus, afin d’exploiter des victimes sans méfiance dans des espaces en ligne et hors ligne.
-
Techniques de camouflage
Les codes QR malveillants sont souvent conçus pour être visuellement impossibles à distinguer des codes légitimes, car les attaquants utilisent des techniques de camouflage. Il s’agit d’imiter les marques, les logos et les éléments de conception pour tromper les utilisateurs, en tirant parti de la difficulté à distinguer les codes authentiques des codes malveillants.
-
Redirection vers des sites web frauduleux
Une fois le code QR scanné, les victimes sont redirigées vers de faux sites web qui imitent les sites légitimes et les invitent à saisir des informations sensibles telles que des noms d’utilisateur et des mots de passe, ou des données financières.
-
Téléchargement de contenu malveillant
Dans certains cas, la lecture d’un code QR malveillant peut déclencher le téléchargement d’un logiciel malveillant sur l’appareil de l’utilisateur, ce qui compromet la sécurité et peut entraîner d’autres cyberattaques.
-
Récolte de données et vol d’identité
Les hameçonneurs recueillent les informations saisies par les victimes sur de faux sites web, ce qui entraîne un vol d’identité, des pertes financières ou un accès non autorisé à des comptes personnels.
Exemples concrets
En février 2022, à Atlanta, des automobilistes ont trouvé sur leur voiture de faux tickets de stationnement avec des codes QR pour le paiement supposé de l’amende. Après avoir découvert cela, les autorités locales ont alerté les habitants en soulignant que les véritables tickets de stationnement à Atlanta ne comportaient pas de codes QR.
La même année, une campagne d’hameçonnage par code QR en Chine s’est fait passer pour le ministère chinois des finances et a attiré les utilisateurs avec une fausse demande de subvention gouvernementale. Les victimes étaient invitées à scanner un code QR contenu dans une pièce jointe à un courriel en utilisant l’application WeChat. Après avoir scanné le code, les utilisateurs étaient dirigés vers une page trompeuse où ils divulguaient involontairement des informations détaillées sur leur carte de crédit et leur compte bancaire, sous prétexte de demander une subvention inexistante.
Protégez-vous de l’arnaque au code QR
-
Maintenez le système d’exploitation et les fonctions de sécurité de votre smartphone à jour.
-
Activez la fonction MFA pour un niveau de sécurité supplémentaire afin de protéger vos informations personnelles.
-
Faites preuve de prudence lorsque vous rencontrez des codes QR dans les courriels, car ils peuvent être utilisés pour des tentatives d’hameçonnage.
-
Utilisez le filtrage web au moyen d’un logiciel de sécurité réputé pour bloquer les sites web malveillants et les menaces potentielles.
-
Tenez-vous au courant des nouvelles menaces liées aux codes QR en consultant des sources de renseignements sur les menaces.
Source : The rise of QR code threats: From convenience to caution by Judin